ANCORA 10 GIORNI PER CANDIDARSI ALLA 5° EDIZIONE DEL CONCORSO RISK MANAGEMENT DI SHAM

Il 15 maggio 2021 scadrà il termine per partecipare alla 5° edizione del Concorso Risk Management Sham.

Un concorso che ha come obiettivo la condivisione delle azioni di prevenzione e miglioramento del settore sanitario e che nel 2021 continua la propria tradizione nel premiare gli interventi più innovativi e all’avanguardia nella gestione del rischio sanitario e nella sicurezza di pazienti e operatori. Quest’anno si svolgerà in simultanea in 4 Paesi europei con l’obiettivo di raccogliere, confrontare e diffondere a livello nazionale e europeo le best practice sviluppate dalle singole strutture sanitarie.

Il 2021 è stato un anno di forte cambiamento: ecco perché questa edizione, che vede sempre il patrocinio di Federsanità, ARIS e AIOP, riparte con due grosse novità. In primo luogo, ci saranno un concorso italiano ed uno europeo: il concorso italiano premierà tre vincitori tra i progetti futuri ancora da implementare con 5mila euro da reinvestire nell’avvio del progetto stesso (un incentivo in più a riattivare l’investimento nella prevenzione a 360° dopo la lunga parentesi del COVID); al concorso europeo, invece, potranno candidarsi i progetti già in essere, o già svolti negli anni passati. Ai tre vincitori verranno assegnati 3mila euro ciascuno.

Nuove, inoltre, anche le categorie dei progetti in concorso. Oltre alla “Riduzione del rischio sanitario”, categoria principe delle scorse edizioni, da quest’anno sono presenti anche le voci: “Prendersi cura di chi si prende cura di noi” – per includere i progetti dedicati a migliorare la qualità della vita e il benessere dei professionisti e delle equipe – e “Riduzione del cyber risk” – che rispecchia la nuova dimensione tecnologica di Sham nell’affrontare, al fianco delle strutture sanitarie, il crescente rischio informatico in sanità.

Le premiazioni si terranno durante il World Patient Safety Day, il 17 settembre 2021.

Il 15 maggio scadrà il termine ultimo per presentare le candidature. Ogni struttura potrà presentare più progetti, se lo desidera.

Possono candidarsi servizi, reparti e dipartimenti di strutture sanitarie pubbliche, private e private senza scopo di lucro associate o meno a Sham compilando questo semplice modulo. Per ulteriori informazioni e chiarimenti è sufficiente scrivere al nostro team all’indirizzo e-mail: 

premio.sham.it@relyens.eu.

Il regolamento è disponibile a questo link.

Grazie a tutti coloro che hanno già presentato i loro progetti: è anche grazie a loro se la cultura della prevenzione in Italia farà un passo avanti. Noi di Sham, come sempre, siamo al loro fianco anche in questa occasione.

Roberto Ravinale

Direttore esecutivo di Sham in Italia

TUTELA DEL RISCHIO INFORMATICO: QUALI SONO LE REGOLE EUROPEE?

La normativa vigente, la Direttiva NIS, il focus sui dispositivi medicali e una comparazione tra modelli degli Stati Membri alla luce dei crescenti attacchi cyber alla sanità europea. 

 

Il 2020 è stato un anno caratterizzato da un numero alquanto elevato di attacchi informatici che hanno interessato numerose Strutture Sanitarie in Italia così come negli altri Paesi europeiDa un rapporto della polizia postale del 2020 è emerso1 che il bersaglio degli hacker non risultano essere solo i fascicoli sanitari dei pazienti quanto, piuttosto, i sistemi e i dispositivi clinici in uso dalle stesse, con conseguente possibile rischio di blocco dell’attività ospedaliera. Già nel 2008 l’Unione europea, riconoscendo il grave rischio per la salute dei pazienti e la minaccia globale società di un attacco informatico in ambito sanitario, inserì la sanità nell’elenco dei settori strategico previsti dalla Direttiva 2008/114/CE. Da allora la legislazione europea ha continuato a evolvere per far fronte alla nuova minaccia. Sanità 360° incontra l’Avvocato Delia Roselli, Legal Manager di Sham in Italia per raccontare le modalità con le quali si è evoluta. 

Avvocato, cosa prescrive l’Europa alle aziende sanitarie per fronteggiare il crescente rischio informatico 

La tutela del rischio informatico costituisce, come noto, uno dei capisaldi della regolamentazione europea degli ultimi annui. 

Prima fra tutte, la Direttiva NIS2 la quale ha come obiettivo primario quello di rafforzare la sicurezza informatica all’interno di ciascuno Stato Membro. 

Il settore sanitario rientra tra i servizi essenziali cui la suddetta direttiva trova applicazione: ciascuna azienda sanitaria è dunque chiamata ad adottare misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti. 

Accanto alla Direttiva NIS non può trascurarsi il rilievo che riveste nell’ambito della sicurezza informatica il Regolamento UE 2016/679 (GDPR), il quale prescrive una serie di misure preventive volte a impedire il successo di un attacco informatico. 

Di non minore importanza, la Direttiva UE 2016/680 contenente una serie di disposizioni in materia di protezione dei dati personali applicabili nei casi di trattamento dei dati effettuato dalle autorità competenti per delle finalità di prevenzione, indagine, accertamento di reati penali nonché per l’esecuzione di sanzioni penali e per la salvaguardia di minacce alla sicurezza pubblica. 

Da ultimo, vale la pena citare le Linee Guida pubblicate dall’EDPB3 a inizio 2021 a integrazione delle disposizioni del GDPR in materia di Data Breach, le quali prevedono che ogni Struttura Sanitaria è tenuta a informare i propri pazienti ogni qualvolta subisca un attacco informatico, anche se quest’ultimo non comporti di fatto un furto di informazioni sanitarie dei pazienti e la struttura sia in grado di mitigarne gli effetti con un backup. 

Sono precauzioni sufficienti? 

Quanto previsto a livello europeo necessita di essere recepito da ogni Stato Membro.  

Soprattutto per quanto strettamente attinente alla Direttiva NIS, una frammentaria applicazione della stessa a livello locale unita alla mancanza di cooperazione e condivisione nel processo di divulgazione delle conoscenze informatiche acquisite da ciascuno Stato, hanno rafforzato l’idea di intervenire sulla stessa modificando le sue previsioni originarie. 

Si è fatta, quindi, largo, l’ipotesi di adozione della Direttiva NIS 2 con estensione delle previsioni ivi contenute anche a settori ad oggi non coperti dalla Direttiva NIS (fra i quali particolare attenzione merita la produzione di dispositivi medici), nonché l’inclusione della crittografia e dei controlli sulla sicurezza informatica dei propri fornitori fra le nuove misure tecnico-organizzative che ciascuno Stato deve adottare per contenere il rischio informatico. 

Stando a quanto pubblicato dall’IAIS (International Association of Insurance Supervisors) nel suo ultimo rapporto avente ad oggetto la sottoscrizione dei rischi informatici in Europa e delle considerazioni in tema di sostenibilità del mercato assicurativo in questo ramo, le attuali pratiche di sottoscrizione di tali rischi, benché utili, ancora non risultano ottimali.  

La causa di questa mancanza è dovuta principalmente all’incapacità di misurare correttamente l’esposizione al rischio, nonché alla circostanza che sia l’intensità del monitoraggio (come la frequenza delle valutazioni) e lo sviluppo di strumenti specifici (come l’uso di stress test) sono commisurati alle dimensioni relative del mercato della sottoscrizione informatica, che attualmente è generalmente limitato 

Quali sono le differenze nel modello Ita e FR.  

Dovendo ragionare in un’ottica di differenze esistenti tra il modello di tutela del rischio informatico in vigore in Italia e oltralpe, vale la pena citare un istituto tipico del diritto francese che non ha eguali nel nostro ordinamento. Mi riferisco all’ “hébergement des donnés de santé”, ovvero l’hosting dei dati sanitari su supporti digitali. 

Partendo dal presupposto che i dati sanitari sono dati sensibili il cui accesso è protetto dalla normativa in tema di protezione dei dati personali, il legislatore francese stabilisce che l’hosting di tali dati debba essere effettuato in condizioni di sicurezza adeguate alle loro criticità al fine di garantirne la loro riservatezza e sicurezza. 

Pertanto, qualsiasi persona fisica o giuridica che ospita dati sanitari personali raccolti nel corso di attività di prevenzione, diagnosi, cura o monitoraggio medico-sociale per conto delle persone fisiche o giuridiche che hanno prodotto o raccolto i dati o per conto del paziente stesso, deve essere approvato o certificato a tal fine. 

In conformità con l’GDPR, gli host di dati sanitari su supporti digitali (ad esclusione dei servizi di archiviazione elettronica) devono essere certificati. 

L’approvazione degli host è obbligatoria per tutte le organizzazioni che ospitano e utilizzano dati sanitari o che eseguono backup per conto di un’istituzione sanitaria. 

,

I VINCITORI DEL PREMIO SHAM SI RACCONTANO

L’esperienza del Concorso Sham del 2019 vista dai vincitori dell’AOU di Novara

Con il progetto Gestione del sovrappopolamento ospedaliero: dall’analisi sul bed management ai modelli predittivi e prescrittivi nella prevenzione del rischio clinico correlato l’Azienda Ospedaliera Universitaria Maggiore della Carità di Novara si è aggiudicata il primo premio dell’edizione del 2019 del Concorso Risk Management di Sham.

“Il progetto presentato dalla nostra struttura all’edizione del 2019 del Concorso Sham consiste nella realizzazione di strumenti predittivi sull’iperaflusso ospedaliero. Pensato in origine per affrontare i picchi della stagione influenzale, ha permesso di sviluppare uno strumento prezioso per prevedere l’accesso al pronto soccorso e alle terapie intensive durante la pandemia di Covid-19” spiega Roberto Sacco, Direttore Sanitario della struttura.

“Con lo scoppiare della pandemia i metodi previsionali da noi sviluppati sono stati messi alla prova.  Fin dall’ inizio della prima ondata il gruppo di ricerca dell’AOU ha applicato i modelli previsionali sviluppati per modulare opportunamente le attività e le risorse di ricovero, di allocazione, di dimissione e la conversione e la riconversione dei  posti letti da puliti a Covid e viceversa, nonché l’organizzazione del piano pandemico aziendale” aggiunge Sacco.

“Lo strumento si è rivelato efficace sia per l’analisi di dati locali che per quella di dati Regionali e Nazionali. Questo ha significato un grande coinvolgimento della nostra struttura durante la prima ondata del virus- dichiara Philippe Caimmi, medico della direzione sanitaria dell’AOU coinvolto nella realizzazione del progetto. – Siamo stati tra le esperienze di riferimento a livello regionale per la capacità di risposta all’andamento della pandemia sul territorio, in particolare durante i primi mesi. Visto il successo del nostro strumento, la Regione si è successivamente attrezzata con una più potente struttura centralizzata per servire al meglio tutta l’area di competenza. Questo ha permesso di distribuire in modo più capillare sul territorio le buone pratiche che avevamo contribuito a sviluppare, migliorando notevolmente la gestione dell’emergenza in tutti i comuni coinvolti e creando un sistema condiviso che ha sicuramente alzato la media della capacità di risposta alla pandemia, se pur limitando la possibilità delle singole strutture di realizzare progetti autonomi”.

La messa in pratica del progetto ha fatto sì che si sviluppassero ulteriori osservazioni, spunti in grado di spingere, in futuro, verso ancora nuovi progetti per migliorare sempre di più l’efficacia e l’efficienza delle cure.

“La notevole attività di revisione dei dati Nazionali e Regionali, ci ha permesso di identificare i fattori più significativi per spiegare e anticipare lo sviluppo delle criticità dovute alla pandemia nel Sistema Sanitario Nazionale. Queste attività di revisione hanno successivamente portato alla pubblicazione di un articolo scientifico dal titolo: The Hard Lessons Learned by the Covid-19 Epidemic in Italy: Rethinking the Role of the National Health Care Service che sarà a breve pubblicato sul Journal of Epidemiology and Global Health, un tassello nel percorso per l’individuazione di meccanismi virtuosi che possono essere dedotti da questa pandemia che stiamo ancora vivendo” conclude Caimmi.